Logic Delight

明日のワシは忘れてしまうから、コードにはコメントを書くのです。

情報セキュリティの体系化

偉い人からのデッカイボールに対応するためのメモメモ。。

情報セキュリティの目的

  1. 機密性(Confidentiality)
    • アクセス権を持つ者だけが、情報にアクセスできることを確実にすること
      • アクセス制御、パスワード認証、暗号化、入退室管理
  2. 完全性(Integrity)
    • 情報及び処理方法が正確であることおよび完全であることを保護すること
      • デジタル署名、メッセージダイジェストによる改竄防止
  3. 可用性(Availability)
    • 認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること
  4. 責任追跡生 / 説明可能性(Accountability)
    • システムが、いつ、誰に利用されたかを追跡できること
  5. 真正性 / 認証性(Authenticity)
    • 情報の作成者や送信者が(なりすまし/偽物ではなく)本物であることを保証すること
      • デジタル署名、パスワード認証
  6. 信頼性(Reliability)
    • システムやプロセスが矛盾なく動作すること、一貫して動作すること
      • ネットワークやシステムの2重化による呼称対策、サーバ室での温度管理、負荷監視

前半の3つを「セキュリティのCIA」と呼ぶ。最近は、後半の3つを追加して6大要素とすることもある。

セキュリティの機能

  1. 抑制
    • セキュリティの存在が、犯罪・事故などを牽制・抑止する
      • ホスティング、外部委託、不要なサービスの停止、監視カメラ、規則・契約書への明記
  2. 予防
    • 脅威の顕在化、拡大を防止する
  3. 検知
    • 事故・障害・不正などを速やかに発見・通知する
      • ログの監視、侵入検知システム、SNMPによるネットワーク管理
  4. 回復
    • 事故・障害から正常な状態に回復する
      • バックアップ、代替機の確保、復旧対応マニュアルの作成

セキュリティの対策

  1. 物理的対策
    • 建物・設備基準
  2. 技術的対策
  3. 運用管理対策

情報セキュリティの指す範囲

  • 情報セキュリティ
    • コンピュータ・セキュリティ
      • ネットワーク・セキュリティ
    • (建物・設備などの)物理セキュリティ

情報セキュリティの技術的対策

  1. 監査(Audit)
    • 他の5階層全体を指し、導入した製品自身に設定ミスがないか、利用者がルールどおりに使用しているかなどを監視し、監査証跡を記録する製品およびサービス
  2. 暗号化(Encryption)
    • IPsec技術を使ったVPN、ファイル暗号化など、機密漏洩対策としての製品およびサービス
  3. 特権定義(Priviledge Definition / Single Sign On)
    • 個人の属性に対して定義されたシステムへのアクセス権限を管理運営する認可の製品およびサービス
  4. 認証(Authentication)
    • ネットワークやサーバにアクセスする際の、本人性を確認する製品およびサービス
  5. 通信規制(Access Control)
  6. データ保護(Data Protection / Data Integrity)
    • アンチウィルスに関する製品およびサービス

時系列で見た考え方

  • 事前対策
    • ファイアウォール、ウィルス対策サーバ、安全なWebアプリ開発、ハードディスク暗号化、サーバ室での安定稼働、パッチ適用
  • 発生時の対策
    • ネットワークからの切り離し、社内への周知、ホームページ上での公表、政府機関への連絡、HDDやメモリ内の証拠保全作業
  • 発生後の対応、見直し
    • 発生したインシデントのレビュー、ポリシーの改定や新たな対応策の導入
  • 日常の運用
    • 社員の教育、ログの監視、定期的バックアップ、脆弱性情報の収集、アカウント登録削除の管理徹底

脅威の分類

  • 人為的かつ意図的な脅威
    • 直接的な脅威
      • 破壊
      • 漏洩
      • 改竄
      • 盗聴
      • 盗難
      • サービス停止
      • 不正利用
      • 踏み台
      • ウィルス感染
    • 取引に関わる脅威
      • なりすまし
      • 否認
  • 人為的かつ非意図的な脅威
    • オペミス、間違い・勘違い
  • 人為的かつ非意図的な脅威
    • H/W故障や自然災害